資安 - HackMD

# 資安 <style> .red { color: red; } </style> ## 考古 A.(10%) 請說明 Bell & LaPadula 安全模式中控制資訊流向的兩種法則，並舉例說明。 簡易安全法則(Simple Security Property):只有在使用者安全等級大於等於該資料安全等級才允許讀取。星級安全法則:不能寫入比自己安全等級低的檔案檢查 B.(10%) 作為身分驗證的基礎有哪三種? 請對每一種基礎舉例，並作說明。 證件驗證、生物特性驗證、通行密碼驗證證件驗證 : 條碼卡、磁卡、IC 卡、智慧卡生物特性驗證 : 指紋、眼紋、聲紋、人臉辨認等通行密碼驗證 : 特定使用者所輸入的密碼 C.(10%) 何謂資訊安全的弱點分析? 企業資訊系統於做完弱點分析之後，應作何種處理? 對整個系統架構進行測試，例如使用那些硬體、路由器、防火牆、安裝那些軟體、使用人員等找出容易遭受攻擊的地方，並對問題點作出改善。 D.(10%) 何謂異地備援(Remote Backup)? 為何需要異地備援? 異地備援有哪兩個重要特性? 請卻家闡述。 避免災害造設備同時損壞所作的備份如發生天災等狀況主機資料受損可重備份恢復受損資料減少損失備份資料必須與主機需在不同地點，至少相隔 30 公里，可同步資料，備份時不可消耗主機效能 E.(10%) 何謂對稱性金鑰加密系統？對稱性金鑰加密系統所採行的主要操作為何？其操作又能拿到甚麼作用？請說明對稱性金鑰加密系統的優缺點。 用相同的密鑰對明文進行加密解密。明文經過加密後成為沒有意義的代碼，可以透過網路公開發送，不用擔心被他駭客攔截知道內容加密解密方便快速，密鑰被攔截得知時明文也會被得知，有機會被暴力破解。 F.(10%) 請繪圖說明Kerberos身分鑑別系統的運作方式？請問 Kerberos 系統有何優點？ 使用者經過加密過的登入信息驗證身分，管理者也不知道使用者的帳號密碼，可以確保資料的完整性與機密性。 G.(10%) 請說明 Role-Based Access Control的運作方式;請問他必須滿哪兩個基本特性? 並不是以人為授權單位，而是以角色為授權的依據，某些人可同時伴演兩種以上角色 1. 最小特權:當組織新增角色時就給予任務和所需最低權限，避免使用者造成物件損壞及降低入侵者對系統所造成的威脅 2. 授權分工:有些人有多個角色，但工作者和監督者應該避免角色衝突 H.(10%)請說明資訊安全的三原則為何?請舉例說明其作用。 資安三原則 C 機密性：未經授權不得存取 I 完整性：未經授權不得增刪、修改 A 可用性：確保資訊系統運作的有效性，避免遭惡意行為破壞，並提供有效正確的資料給授權者 --- ## CH01![](https://i.imgur.com/M0Mgyad.png) - [ ] 資安定義 : 為便利資訊安全系統維持在一定運作水準所採取的安全管理/技術 - [ ] 資安威脅 : 內鬼／天災 - [ ] 資安三原則 1. 機密性：未經授權不得存取 2. 完整性：未經授權不得增刪改 3. 可用性：確保資訊系統運作的有效性，避免遭惡意行為破壞，並提供有效正確的資料給授權者 - [ ] 風險分析 : 外在威脅＊內在弱點＊衝擊 - [ ] PDCA: 1. 規劃(Plan) 使結果與組織政策目標一致 / 建立ISMS 2. 執行(DO) 實施與操作政策 / 實施與操作ISMS 3. 檢查(Check)定期實施監控及評鑑 / 監控與評測ISMS 4. 行動(Act) 矯正及預防措施 / 持續改善ISMS - [ ] 資訊資產風險評估 - [ ] ISMS步驟 | 步驟一 | 步驟二 | 步驟三 | 步驟四 | 步驟五 | 步驟六 | | ------ | ------ | --- | --- | --- | ------ | | 定義ISMS範圍 | 制定資安規範 | 風險評估 | 選控制措施 | 制定適用說 | 演練及營運 | | ISMS範圍 | 資訊安全政策 | 風險評估報告 | 風險管理 | 適用性說明 | 營運持續計畫 | ## CH02 - [ ] Clint 設備保護 : 資料遺失/中毒/帳號被盜/誤操作 - [ ] 異地救援 : 同步備份/與備份地隔≥30公里 ## CH03 - [ ] 識別基礎 1. 證件驗證 : 條碼卡、磁卡、IC 卡、智慧卡 2. 生物特性驗證 : 指紋、眼紋、聲紋、人臉辨認等 3. 通行密碼驗證 : 特定使用者所輸入的密碼 - [ ] 攻擊 1. 字典攻擊法 : 單字 2. 窮舉 : 一個一個試 3. 社交 : 使用者相關資料 - [ ] 安全防護 1. 複雜 2. 經常變動 3. 不可明文儲存 - [ ] Kerberos : Single sign On - [ ] 3A :(Authentication驗證 + Authorization授權 + Access Control存取控制) ## CH04 - [ ] 五大管理 1. CPU管理(分時) 2. 記憶體管理 3. 進程管理 4. I/O管理 5. 設備管理 - [ ] 威脅 1. 入侵 2. 內鬼 3. 中毒 4. 攻擊 - [ ] 病毒 1. 木馬/間諜程式/勒索/APT攻擊 2. 邏輯炸彈 3. 後門(工程師) - [ ] 病毒感染／生命週期 1. 創造期/孕育期/潛伏期/發病期/根除期 - [ ] OS政策 1. 管理政策 - 集中式:機敏單位 - 分散式:(多分支機構)企業 2. 存取控制 - Need-to-know Principle ：需知原則 - 最小分享原則 Minimized Sharing ：機敏資料 - 開放式 VS 封閉式 - 存取權限分類 (Read/Write/eXecute) 3. 資料流向 - 任意型 Discretionary AC - 強制型 Mandatory AC - 以角色為基礎的 Role-Base AC 4. 控制流向 - 預防型 Preventive Model - 監測型 Detective Model - [ ] Bell & LaPadula 安全模式 1. 簡易安全法則:No-Read-up 2. 星級安全法則:No-Write-Down - [ ] RBAC(Role-based Access Control)基於使用者角色的存取控制安全模式 1. 最小特權:新增角色時，授予其能完成任務的所需的存取權限 2. 授權分工:避免分工角色互相衝突 --- ## CH08 Root Certificate Authority CA憑證中心： 1. 自然憑證 2. 金融憑證 3. 關貿憑證 4. 健保憑證憑證用途： UserID 電子簽章：以私鑰加密，其他人可以利用簽署人的公鑰做驗證，以驗證真實性